5月12日，英國(guó)16家醫(yī)院同時(shí)遭遇Wannacry(永恒之藍(lán))勒索蠕蟲(chóng)攻擊，導(dǎo)致倫敦、諾丁漢等多地醫(yī)院的IT系統(tǒng)癱瘓。隨后，該勒索蠕蟲(chóng)在全球開(kāi)始傳播。五個(gè)小時(shí)內(nèi)，包括美國(guó)、俄羅斯以及整個(gè)歐洲在內(nèi)的100多個(gè)國(guó)家，以及國(guó)內(nèi)高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專(zhuān)網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。

　　長(zhǎng)期以來(lái)，醫(yī)院一直是敲詐蠕蟲(chóng)攻擊的重要目標(biāo)。2016年2月5日，美國(guó)好萊塢長(zhǎng)老教會(huì)紀(jì)念醫(yī)學(xué)中心的電腦系統(tǒng)在遭受為期一星期的敲詐者病毒攻擊后，該中心宣布決定支付給黑客40比特幣(約17000美元)來(lái)修復(fù)這一問(wèn)題。隨后加拿大渥太華的一家醫(yī)院和安大略省的一家醫(yī)院也被敲詐者病毒攻擊。

　　這次的“永恒之藍(lán)”勒索蠕蟲(chóng)，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個(gè)月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個(gè)Windows系統(tǒng)服務(wù)(SMB、RDP、IIS)的遠(yuǎn)程命令執(zhí)行工具，其中就包括“永恒之藍(lán)”攻擊程序。

　　在之前就已經(jīng)爆發(fā)的多次利用445端口進(jìn)行蠕蟲(chóng)攻擊的事件中，部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上已經(jīng)封禁了445端口，但是教育網(wǎng)以及大量企業(yè)內(nèi)網(wǎng)并沒(méi)有此限制，而且并未及時(shí)安裝補(bǔ)丁，仍然存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致了這次“永恒之藍(lán)”勒索蠕蟲(chóng)的泛濫。

　　360企業(yè)安全資深安全專(zhuān)家表示，“隔離不等于安全，醫(yī)院隔離的專(zhuān)網(wǎng)本身就是一個(gè)小規(guī)模的互聯(lián)網(wǎng)，需要當(dāng)作互聯(lián)網(wǎng)來(lái)建設(shè)。”針對(duì)此次安全事件，強(qiáng)烈建議企業(yè)安全管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問(wèn)，并升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本，同時(shí)設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認(rèn)網(wǎng)絡(luò)內(nèi)的電腦已經(jīng)安裝了微軟MS17-010補(bǔ)丁或關(guān)閉了Server服務(wù)。

　　而通過(guò)此次“永恒之藍(lán)”勒索蠕蟲(chóng)事件我們發(fā)現(xiàn)，目前國(guó)內(nèi)機(jī)構(gòu)的IT系統(tǒng)中，存在著防火墻品牌不一致的問(wèn)題，這就導(dǎo)致安全事件爆發(fā)時(shí)防火墻無(wú)法實(shí)現(xiàn)安全策略的集中下發(fā)，直接影響到了機(jī)構(gòu)對(duì)安全事件的應(yīng)急響應(yīng)速度。

　　針對(duì)“永恒之藍(lán)”勒索蠕蟲(chóng)，360企業(yè)安全專(zhuān)家建議: 對(duì)已經(jīng)感染勒索蠕蟲(chóng)的機(jī)器建議隔離處置。

　　對(duì)尚未發(fā)現(xiàn)攻擊的機(jī)構(gòu)，網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問(wèn)，如果邊界上有IPS和360天堤智慧防火墻之類(lèi)的設(shè)備，請(qǐng)升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS17-010補(bǔ)丁或關(guān)閉了Server服務(wù)。在終端層面暫時(shí)關(guān)閉Server服務(wù)。對(duì)于已經(jīng)感染勒索蠕蟲(chóng)的機(jī)器建議隔離處置。

　　對(duì)于Win7及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)立即電腦安裝此補(bǔ)丁。出于基于權(quán)限最小化的安全實(shí)踐，建議用戶(hù)關(guān)閉并非必需使用的Server服務(wù)。

　　對(duì)于Windows XP、2003等微軟已不再提供安全更新的機(jī)器，推薦使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，以避免遭到勒索蠕蟲(chóng)病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe 。這些老操作系統(tǒng)的機(jī)器建議加入淘汰替換隊(duì)列，盡快進(jìn)行升級(jí)。

　　同時(shí)建議針對(duì)重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，針對(duì)重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤(pán)或者設(shè)備進(jìn)行替換。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。